Con un provvedimento datato 22 dicembre 2021, L’Autorità Garante austriaca (“Datenschutzbehörde”, di seguito “DSB”) ha sanzionato il titolare di un sito web per l’utilizzo di Google Analytics, in quanto il suo impiego violerebbe le norme del Regolamento (UE) 2016/679 (il "GDPR") in tema di trasferimento di dati personali verso Paesi terzi.
L’intervento della DSB si inserisce nella scia dei provvedimenti in tema di trasferimenti dei dati al di fuori dello Spazio Economico Europeo. Sul punto, la decisione più rappresentativa è senza dubbio la nota sentenza della Corte di Giustizia dell’Unione Europea nota come “Schrems II”.
Sotto la lente d’ingrandimento del Garante austriaco è finito il colosso statunitense Google, fornitore di servizi di comunicazioni elettroniche di diritto straniero che opera nel territorio europeo.
La DSB muove le proprie osservazioni partendo dal presupposto che le norme contenute nel Capitolo V del Regolamento stabiliscono un onere per i titolari (e per i responsabili) di assicurare un livello di protezione adeguato ai dati personali. Ricordiamo che i Google Analytics User ID possono costituire dati personali nella forma di Unique Identification Number, rientrando nella definizione di “dati personali” di cui all’art. 4, n. 1 GDPR.
Ora, nonostante il fornitore americano abbia riferito di aver proceduto all’implementazione di misure tecniche di crittografia e pseudonimizzazione, oltre all’adeguamento delle Clausole Contrattuali Standard (“SCC”) – in linea, almeno teoricamente, con le Raccomandazioni predisposte dall’EDPB –, il Garante austriaco ha osservato come tali misure non siano effettive, poiché non eliminano la minaccia di controllo e di accesso ai dati personali da parte dei servizi di intelligence americani.
È noto infatti che Google, nella sua qualità di fornitore di servizi di comunicazioni elettroniche, risulta soggetto alla sorveglianza messa in atto dalle agenzie di intelligence statunitensi, in ottemperanza alle previsioni del Foreign Intelligence Surveillance Act (c.d. “Fisa”).
In punto di decisione, l’Autorità austriaca ha osservato che la responsabilità del rispetto del principio di accountability gravi sul titolare, il quale, nel decidere di far ricorso agli strumenti offerti da Google Analytics, ha determinato le finalità ed i mezzi del trattamento associati allo strumento scelto.
In particolare, la DSB ha ritenuto che gli “SCC” conclusi dal titolare del trattamento con il responsabile (Google) non offrano garanzie adeguate e sufficienti agli interessati e contrastino dunque in violazione dell’art. 44 del GDPR.
Si tratta di un provvedimento particolarmente rilevante, le cui argomentazioni potrebbero essere sposate da altre autorità di controllo in materia di protezione dei dati personali, tra le quali l’autorità Garante Privacy italiana. È noto che Google Analytics sia uno degli strumenti più diffusi per le analisi del traffico sui siti internet europei; qualora dovessero seguire ulteriori decisioni da parte di altre autorità privacy europee, conformi a quella in esame, occorrerebbe adottare speditamente quanto necessario per abbandonare tale strumento.
Tuttavia, è da verificare se in Europa esistano alternative dalle medesime prestazioni.
Il settore del marketing applicato al tracciamento sul web è, comunque, in vista di una profonda rivoluzione, viste le posizioni espresse da Google in ordine ai cookie di terza parte. Ancora una volta, occorre creare un dialogo serrato tra uffici marketing di aziende ed agenzie di comunicazione ed esperti in privacy, per garantire la possibilità di ottenere il miglior ritorno degli investimenti pubblicitari, al riparo dai rischi delle sanzioni per violazione delle norme a protezione dei dati personali.
Torna alle news